La DeFi de 2021 était brillante, rentable et criblée de failles. En douze mois, 70 attaques majeures sur 4 blockchains différentes ont totalisé 1,4 milliard de dollars de cryptomonnaies dérobées, selon une étude de The Block. Ce chiffre, déjà impressionnant, ne comptabilisait même pas les rug pull et arnaques qui s’ajoutaient à la facture. La question de la sécurité des smart contracts était devenue le talon d’Achille structurel d’un secteur par ailleurs en pleine explosion.

En bref

  • 70 attaques majeures sur la DeFi documentées en 2021 par The Block, sur 4 blockchains
  • 1,4 milliard de dollars dérobés dont 740 millions restitués, soit un préjudice net d’environ 680 millions
  • Ethereum concentrait 34 attaques, la Binance Smart Chain 25, Polygon 3 et Avalanche 2
  • 34 des 70 attaques utilisaient des flashloans comme vecteur d’amplification
  • Poly Network a représenté à lui seul 611 millions de dollars, avec restitution intégrale
Répartition des 70 attaques DeFi (2021) 34 Ethereum 25 BSC 3 Polygon 2 Avalanche Total : 1,4 Md$ volés (The Block, 2021)

1,4 milliard de dollars volés à la DeFi

Des données issues d’une étude menée par The Block évaluaient le préjudice total à 1,4 milliard de dollars, réparti sur 70 attaques perpétrées sur 4 réseaux différents depuis le début de 2021. Ces attaques prenaient la forme d’exploitations de failles dans le code des smart contracts. Des bugs et fragilités architecturales que des attaquants passaient au crible pour y trouver une porte d’entrée et vider les pools de liquidité en quelques minutes.

[INTERNAL-LINK: comprendre les failles de smart contracts DeFi -> guide sécurité DeFi]

La répartition par blockchain était révélatrice. Ethereum concentrait 34 des 70 attaques, soit presque la moitié. La Binance Smart Chain arrivait en deuxième position avec 25 attaques. Polygon comptabilisait 3 incidents, Avalanche 2. Cette distribution reflétait à la fois la popularité de chaque réseau et la concentration de valeur disponible comme cible.

La majorité de ces attaques ne prenait pas en compte les arnaques, rug pull et autres soft rugs, qui s’ajoutaient séparément à la facture. Ces formes d’escroquerie reposaient sur une faille humaine plutôt que technique, mais leurs montants se comptabilisaient également en millions de dollars sur l’ensemble de l’année.

Les flashloans : outil révolutionnaire, vecteur d’attaque redoutable

Près de la moitié des 70 attaques documentées avaient utilisé des prêts flashloan comme vecteur principal. Ces 34 attaques par flashloan reposaient sur un mécanisme propre à la DeFi : emprunter, utiliser et restituer des sommes importantes en une seule transaction atomique, sans garantie préalable. Cette capacité donnait aux attaquants accès à des fonds colossaux pour amplifier l’impact de leurs exploits.

[UNIQUE INSIGHT] Le paradoxe des flashloans illustre parfaitement la nature duale de la DeFi. Le même outil conçu pour l’arbitrage légitime et l’optimisation de rendement devient une arme d’amplification dans les mains d’un attaquant. La différence ne tient qu’à l’intention et au code exploité. Aucune réglementation ne peut distinguer les deux usages sans supprimer l’outil entièrement.

Les bénéfices engendrés par ces attaques dépassaient de loin ceux possibles avec des fonds propres. Un attaquant disposant d’un seul ETH pouvait, grâce aux flashloans, mobiliser l’équivalent de plusieurs millions de dollars pour une opération d’une durée inférieure à une seconde. Ce rapport entre mise initiale et butin potentiel expliquait l’attrait persistant de ce vecteur d’attaque.

[CHART: Montants dérobés par type d’attaque DeFi 2021 - flashloan vs exploitation directe - The Block]

Mais “seulement” 680 millions après restitution

Parmi les 1,4 milliard de dollars détournés, une partie importante avait été restituée aux protocoles concernés. Plus de 50% de la somme totale était revenue, soit 740 millions de dollars. Ce taux de restitution inhabituel dans l’histoire des vols de cryptomonnaies démontrait l’efficacité croissante des procédures de traçage et de pression communautaire sur les attaquants identifiés.

[ORIGINAL DATA] Le record de restitution appartient à l’attaque Poly Network d’août 2021 : 611 millions de dollars dérobés, intégralement restitués par l’attaquant en l’espace de quelques jours. Cette affaire représentait à elle seule plus de 43% du total des attaques DeFi de 2021 et 82% des fonds restitués sur l’année.

Le premier semestre 2021 avait déjà enregistré 361 millions de dollars d’attaques. La tendance à l’aggravation était nette entre le début et la fin de l’année, parallèlement à la croissance de la TVL totale de la DeFi. Plus les fonds bloqués dans les protocoles augmentaient, plus les cibles devenaient attractives pour les attaquants.

[PERSONAL EXPERIENCE] La dynamique de restitution forcée s’est imposée comme un mécanisme correctif inattendu. La traçabilité totale des transactions blockchain, paradoxalement avancée comme argument contre la vie privée, se retourne ici contre les attaquants. Un voleur qui ne peut pas blanchir ses gains sans se faire identifier finit souvent par rendre les fonds contre une promesse de non-poursuite.

[IMAGE: Illustration graphique d’un code smart contract avec alerte de sécurité - search Pixabay: “smart contract security blockchain hack”]

La sécurité DeFi : le défi structurel du secteur

Le montant total de 1,4 milliard de dollars en 2021 n’était pas une anomalie conjoncturelle. Il reflétait un problème structurel : la vitesse de déploiement des protocoles DeFi dépassait largement la capacité des équipes à auditer correctement leurs smart contracts. Des protocoles construits en quelques semaines, avec des lignes de code non testées sous des conditions de stress réel, représentaient autant de cibles potentielles.

Les audits de sécurité existaient mais leur valeur était limitée. Plusieurs protocoles attaqués en 2021 avaient préalablement passé un audit. Ce que les auditeurs n’avaient pas détecté, les attaquants l’ont trouvé. La sécurité des smart contracts reste un domaine en construction, avec des outils formels de vérification encore largement insuffisants face à la complexité des interactions entre protocoles.

Questions fréquentes

Comment fonctionnent les attaques par flashloan sur la DeFi ?

Un flashloan permet d’emprunter une quantité arbitraire de cryptomonnaies sans garantie, à condition de rembourser dans la même transaction blockchain. Un attaquant utilise ces fonds massifs pour manipuler les prix dans un oracle ou exploiter un déséquilibre dans un protocole, générant un profit avant de rembourser l’emprunt. L’opération entière se déroule en une fraction de seconde. Si une étape échoue, toute la transaction est annulée. Si elle réussit, l’attaquant garde le profit net.

Pourquoi les attaquants restituent-ils parfois les fonds volés ?

La transparence totale de la blockchain permet de tracer chaque mouvement de fonds. Quand l’adresse d’un attaquant est identifiée, les exchanges centralisés peuvent bloquer les retraits, les stablecoins peuvent être gelés, et la communauté exerce une pression constante. Dans plusieurs cas en 2021, des échanges de messages directs via des transactions blockchain ont abouti à des négociations. L’attaquant préférait restituer les fonds contre une prime de bug bounty et l’assurance de ne pas être poursuivi.

Les blockchains autres qu’Ethereum sont-elles plus sûres pour la DeFi ?

La Binance Smart Chain a subi 25 des 70 attaques documentées en 2021, un chiffre proportionnellement élevé compte tenu de sa taille plus réduite. Sa popularité pour les protocoles DeFi à faibles frais de transaction attirait des projets souvent moins audités qu’Ethereum. Polygon et Avalanche, malgré moins d’attaques en absolu, n’étaient pas épargnées. La sécurité d’une DeFi ne dépend pas de la blockchain sous-jacente mais de la qualité du code des smart contracts déployés dessus.

Sources

Nous ajouter à vos sources préférées sur Google